Printable View
На всех сетевых картах идет автоподмена DNS серверов, на компе установлен KAV для рабочих станций 6.0, который при запуске IE выдает сообщение о заражении файла в system32\msqpdxwqsctmei.dll, при проверке cureit с компьютера было удалено каких то 4 файла.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('L:\autorun.inf','');
QuarantineFile('\systemroot\system32\drivers\msqpdxnbcbcrrx.sys','');
DeleteFile('\systemroot\system32\drivers\msqpdxnbcbcrrx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин по [url]http://virusinfo.info/upload_virus.php?tid=39955[/url]
Выполнил скрипт. DNS поменял. Отправляю логи. Правда при перезагрузке KAV продолжает кричать о зараженной DLL. Архив с карантином тоже отправил.
ДНСы вредные еще остались в других подключениях.
L:\autorun.inf - эту пустышку можно руками удалить.
KAV продолжает кричать о зараженной DLL - удалить при помощи а/вируса.
Все поменял, касперский удалил файл. Огромное человеческое СПАСИБО за помощь!
Лог Хиджака повтори.
Сделал
85.255.113.125;85.255.112.92 - Ваши ДНС?
Если нет, то пофиксить :)
[CODE]O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92[/CODE]
Лог HJT повторите...
Мой DNS .254, записи пофиксил. На эти DNSки (85.255.113.125;85.255.112.92) шла подмена
Пофиксить
[CODE]O13 - Gopher Prefix: [/CODE]
Теперь чисто...
Благодарствую за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\msqpdxnbcbcrrx.sys - [B]Rootkit.Win32.TDSS.plh[/B][/LIST][/LIST]